Введение
Жизнь человека в информационном мире неизбежно делает его более прозрачным для государства и общества, поэтому желание сохранить "информационную приватность" становится все более ощутимым. Именно развитие информационно-телекоммуникационных технологий, внедрение их во все сферы жизни общества и государства, перевод многочисленных картотек в цифровую форму побудили людей задуматься о защите этой весьма чувствительной информации. Новые технологии, с одной стороны, существенно упростили сбор, обработку, хранение, передачу данных, а с другой - создали очевидные угрозы их незаконного оборота, что ведет к нарушениям прав личности.
Одной из причин, вызвавшей появление в Трудовом кодексе Российской Федерации (далее – ТК РФ) главы 14 "Защита персональных данных работника", стало изменение стратегического подхода к правам человека на уровне Конституции РФ, которая провозгласила права и свободы человека высшей ценностью, а признание, соблюдение и защиту прав человека и гражданина - обязанностью государства. По Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. Правовая охрана персональных данных касается не только трудового права, но ТК РФ стал первым кодифицированным актом, имеющим в своей структуре соответствующую специальную главу.
Институт защиты персональных данных работника является новацией в Трудовом кодексе РФ и был в значительной степени рецептирован из западного законодательства
1.
Понятие персональных данных работников
Федеральный закон от 27 июля 2006 г. N 152 ФЗ "О персональных данных" (далее – ФЗ «О персональных данных) определил, что персональные данные – это любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Персональные данные могут включать в себя следующее: 1) имя (фамилия, имя, отчество) и документы, подтверждающие личность; 2) пол, возраст и анатомические характеристики (рост, вес и др.) и биометрические данные; 3) сведения об образовании, квалификации, прохождении стажировки, наличии разряда и др.; 4) сведения о состоянии здоровья и сексуальной ориентации; 5) национальная, этническая и расовая принадлежность; 6) место жительства; 7) сведения о привычках и увлечениях, в том числе "вредных" (алкоголь, наркотики и др.); 8) особенности взаимоотношений и общения с другими людьми (семейное положение, наличие детей, родственные связи и др.); 9) данные о фактах предшествующей жизни и трудовой деятельности (месте предыдущей работы, размере заработка, судимости, службе в армии, пребывании на выборных должностях, на государственной службе и др.); 10) религиозные и политические убеждения (принадлежность к конфессии, членство в политической партии, участие в общественных объединениях, в том числе в профсоюзе и др.); 11) финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.); 12) сведения о деловых и иных личных качествах, которые носят оценочный характер.
Однако в статье 85 ТК РФ речь идет не обо всех сведениях (фактах, событиях и обстоятельствах частной жизни граждан), а лишь о таких обстоятельствах, которые могут характеризовать гражданина как работника. Поэтому понятие персональных данных сужается. Согласно ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Персональные данные всегда относятся к категории конфиденциальной информации.
2.
Обработка персональных данных, их хранение и использование
Все персональные данные на конкретного работника могут быть подвергнуты необходимой обработке (например, формирование списков работников в целом по организации, по структурному подразделению, полу, возрасту, профессии, образованию и т.п.; подготовка работодателем списков работников, подлежащих медицинским осмотрам, и другое). Основное требование при обработке персональных данных работника - соблюдение конституционных норм, гарантирующих охрану прав и свобод человека и гражданина.
Под обработкой персональных данных Конвенция Совета Европы "О защите личности в связи с автоматической обработкой персональных данных" от 28 января 1981 г. понимает накопление данных, проведение логических и (или) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение. Определение, сформулированное в статье 85 ТК РФ, в принципе аналогично указанному.
Работодателем чаще всего обрабатываются документы отдела кадров и бухгалтерии, содержащие персональные данные работников:
1) документы, предъявляемые при заключении трудового договора (см. ст. 65 ТК);
2) документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;
3) документы о состоянии здоровья работника, если в соответствии с законодательством он должен пройти предварительный и периодические медицинские осмотры;
4) документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и др.);
5) документ о беременности работницы и возрасте детей для предоставления матери установленных законом условий труда, гарантий и компенсаций.
Среди персональных данных работника должны быть трудовой договор, приказ (распоряжение) о приеме на работу, приказы (распоряжения) об изменении условий трудового договора, его прекращении, а также приказы (распоряжения) о поощрениях и дисциплинарных взысканиях, примененных к работнику. В период действия трудового договора среди персональных данных работника должна находиться его трудовая книжка.
Основное требование при обработке персональных данных работника –
соблюдение конституционных норм, гарантирующих охрану прав и свобод
человека и гражданина.
В связи с этим работодатель обязан соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
В ст. 10 ФЗ "О персональных данных" указаны специальные категории персональных данных, касающиеся расовой, национальной принадлежности и т.п.
Их обработка не допускается иначе как с письменного согласия субъекта персональных данных и только в ряде исключительных случаев.
Постановлением Правительства РФ N 781 от 17 ноября 2007 г. было утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Согласно п. 14 данного Положения, лица, доступ которых к персональным данным в информационной системе необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.
В отношении государственных гражданских служащих действует Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела, утвержденное Указом Президента РФ N 609 от 30 мая 2005 г.
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса
Российской Федерации и иных федеральных законов.
На основании ст. 8 и ч. 1 ст. 22 ТК РФ работодатель имеет право принимать в пределах своей компетенции локальные нормативные акты, содержащие, в том числе, нормы о порядке хранения и использования информации о персональных данных работников.
Персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или чем это требуется в интересах лиц, о которых собраны данные.
Работу по хранению и использованию персональных данных работника осуществляют лица, состоящие с работодателем в трудовых отношениях (сотрудники кадровых, бухгалтерских и иных служб). Особое место среди них занимают операторы по сбору и обработке персональных данных: обязанности данной категории работников изложены в главе 4 ФЗ "О персональных данных". Поэтому к числу мер по охране персональных данных относится и установление конкретных обязанностей этих работников по обеспечению конфиденциальности информации, относящейся к охраняемой законом тайне. Соответствующее условие должно быть включено в трудовой договор с работником, обрабатывающим персональные данные иных работников. На работодателя возлагается обязанность создавать условия, обеспечивающие исполнение работником своих должностных функций по защите охраняемой законом тайны. В частности, работодатель обязан создать технические условия охраны персональных данных работников от их неправомерного использования (особый режим доступа в помещение, где хранится соответствующая информация, оборудование мест ее хранения, исключающее несанкционированный доступ к информации, и т.п.).
Использование работодателем персональных данных работника осуществляется исключительно в целях обеспечения соблюдения требований законодательства, трудовых прав работника и его личной безопасности, ведения контроля количества и качества выполняемой работы, обеспечения сохранности имущества.
3.
Передача персональных данных
Статья 88 регламентирует порядок передачи (или ее невозможности) работодателем персональных данных работника. В частности, работодателю запрещается сообщать персональные данные работника без его письменного
согласия:
- третьей стороне (исключение составляют сведения, касающиеся угрозы жизни и здоровью работника, например, вследствие аварийной ситуации, профессионального отравления и т.п.);
- в коммерческих целях.
Лица, имеющие доступ к персональным данным работника (например, работники отдела кадров), обязаны соблюдать режим секретности (конфиденциальности), причем они должны быть предупреждены (в т.ч. путем записи в должностной инструкции) о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной их утраты, от несанкционированного доступа к ним, изменения или распространения.
Имеющаяся персональная информация о работнике может быть предоставлена руководителям служб и подразделений организации только в пределах компетенции этих лиц, для чего необходимо принятие локального нормативного акта, например, положения.
Установленное статьей 88 правило о получении данными лицами только тех персональных данных, которые им необходимы для выполнения конкретных функций, трудно реализуемо на практике. Персональные данные работника собираются в его личном деле, не подлежат дроблению и в принципе доступны для ознакомления лицом, осуществляющим надзорно-контрольные функции в полном объеме. Исполнить требования закона возможно при четкой работе с лицами, осуществляющими функции надзора и контроля за соблюдением законодательства о труде работниками, занятыми у конкретного работодателя, трудовой функцией которых является работа с персональными данными.
В то же время, получателями персональных данных работника на законном основании являются: ФСС России; ПФР; налоговые органы; иные органы государственного надзора и контроля за соблюдением законодательства о труде; органы исполнительной власти, профессиональные союзы, участвующие в расследовании несчастных случаев на производстве.
Возможность трансграничной передачи персональных данных предусмотрена ст. 12 ФЗ "О персональных данных".
Работодатель не имеет права запрашивать информацию о состоянии здоровья работников, за исключением случаев, когда существует необходимость получения таких сведений, связанных с выполнением работником своих трудовых функций. Например, это возможно для решения вопроса о переводе на другую работу, исключающую воздействие неблагоприятных факторов, беременной женщины. В случае расторжения трудового договора по инициативе работодателя на основании ст. 81 ТК РФ работодатель передает на работника (члена профсоюза) соответствующему профсоюзному органу следующие данные: проект приказа, копии документов, которые являются основанием для увольнения.
Профсоюз как представитель работников может исполнять социальные функции, определяемые его уставом. Для исполнения этих функций профсоюз должен обладать информацией о круге иждивенцев работника, о необходимости специализированного лечения работника и другом. Поскольку предоставление такой информации, в отличие от информации, необходимой для ведения коллективных переговоров, не обусловлено федеральным законом, она предоставляется с письменного согласия работника.
4.
Права работников в целях обеспечения защиты персональных данных
Конвенция Совета Европы "О защите личности в связи с автоматической обработкой персональных данных" от 28 января 1981 г. предусматривает предоставление любому лицу следующих прав в области защиты персональных данных:
а) быть осведомленным о существовании базы персональных данных и ее главных целях;
б) периодически и без излишних затрат времени или средств обращаться с запросом о том, накапливаются ли в базе данных касающиеся его персональные данные, и получать информацию о таких данных в доступной форме;
в) требовать уточнения или уничтожения данных, обработанных с нарушением положений национального права;
г) прибегнуть к судебной защите нарушенного права, если его запрос или требование о предоставлении информации, уточнении или уничтожении данных не были удовлетворены.
В соответствии со статьей 89 Трудового кодекса Российской Федерации работники имеют право на:
1) полную информацию об их персональных данных и обработке этих данных. Право работника на полную информацию о персональных данных и об их обработке обеспечивается обязанностью работодателя ознакомить работника с документами о порядке обработки персональных данных работников, а также с правами и обязанностями в области защиты персональных данных. Так, в соответствии с п. 12 Правил ведения и хранения трудовых книжек, работодатель обязан ознакомить работника с каждой вносимой в трудовую книжку записью о выполняемой работе, переводе на другую постоянную работу и увольнении под роспись в его личной карточке.
2) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
3) определение своих представителей для защиты своих персональных данных;
4) доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
Информация, содержащаяся в медицинских документах работника, составляет врачебную тайну и может представляться без его согласия только по основаниям, предусмотренным статьями 31 и 61 Основ законодательства Российской Федерации об охране здоровья граждан от 22 июля 1993 г. N 5487-I. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:
- в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
- при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
- по запросу органов дознания и следствия, прокурора и суда в связи с проведением расследования или судебным разбирательством;
- при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий.
Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством.
5) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
6) требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
7) обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
5.
Ответственность за нарушение норм регулирующих обработку и защиту персональных данных
В соответствии с действующей редакцией статьи 90 ТК РФ при наличии вины лица, нарушившие нормы, регулирующие порядок получения, обращения и защиты персональных данных работника, привлекаются:
1) к дисциплинарной и материальной ответственности в порядке, установленном ТК и иными федеральными законами;
2) гражданско-правовой ответственности (по основаниям и в порядке, предусмотренном гражданским законодательством);
3) административной ответственности (на основании норм КоАП РФ);
4) уголовной ответственности (по нормам УК РФ).
Дисциплинарная ответственность предусмотрена ст. 192-195 ТК РФ. За разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, может последовать расторжение трудового договора по подп. "в" п. 6 ст. 81 ТК РФ.
К материальной ответственности за виновное нарушение норм, регулирующих порядок получения, обработки и защиты персональных данных работника, могут привлекаться как работодатель, так и работники, непосредственно обрабатывающие персональные данные работников.
Так, в результате виновного распространения персональных данных работника или виновного представления третьим лицам недостоверной информации о работнике последнему может быть причинен моральный вред, подлежащий возмещению работодателем. При внесении в трудовую книжку работника неправильной записи или не соответствующей законодательству формулировки причины увольнения работник может быть лишен возможности трудиться и понести материальный ущерб. В свою очередь, работники, непосредственно обрабатывающие персональные данные, могут привлекаться к материальной ответственности при проведении работодателем выплат в пользу работника в возмещении причиненного ему ущерба.
Гражданско-правовая ответственность в связи с нарушением норм о защите персональных данных работника наступает в случаях, когда работнику причинен имущественный ущерб и моральный вред.
На основании п. 2 ст. 139 Гражданского кодекса Российской Федерации на лицо, незаконно получившее информацию, составляющую служебную или коммерческую тайну, возлагается обязанность возместить причиненные убытки (в т.ч. такая обязанность возлагается и на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору).
Работодатель вправе потребовать возмещения причиненных убытков лицом, прекратившим с ним трудовые отношения, в случаях, если это лицо виновно в разглашении информации, составляющей коммерческую тайну, доступ к которой это лицо получило в связи с исполнением им трудовых обязанностей, если разглашение такой информации последовало в течение срока, установленного в соответствии с п. 3 ч. 3 ст. 11 ФЗ от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне". Кроме того, ответственность предусмотрена ст. 24 ФЗ от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и ст. 17 ФЗ от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
ГК предусматривает также защиту нематериальных благ граждан, включая неприкосновенность частной жизни, личную и семейную тайну, деловую репутацию и другие. Соответственно устанавливаются формы гражданско-правовой ответственности в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина (работника) и т.п.
Административная ответственность за нарушение законодательства о труде предусмотрена также в КоАП РФ. Административное взыскание налагается в соответствии со ст. 13.11 КоАП, предусматривающей ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Нарушение данной нормы влечет за собой предупреждение или наложение штрафа в размере на: граждан - от 3 до 5 МРОТ; должностных лиц - от 5 до 10 МРОТ; юридических лиц - от 50 до 100 МРОТ.
Согласно ст. 5.39 КоАП неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, не предоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации - влечет наложение административного штрафа на должностных лиц в размере от 5 до 10 МРОТ. Кроме того, в ст. 13.14 КоАП установлена ответственность за разглашение информации, доступ к которой ограничен (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей. Данная статья применима и к случаям разглашения без законных оснований персональных данных работника. За нарушение этой нормы на представителей работодателя может быть наложен судом штраф в сумме от 40 до 50 МРОТ.
Особое значение приобретает криминализация правонарушений в области работы с персональными данными, в связи с чем Уголовный кодекс Российской Федерации предусматривается уголовная ответственность: за злоупотребления и незаконные действия с информационными данными о частной жизни; за неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, если эти деяния причинили вред правам и законным интересам граждан (в т.ч. работникам); за неправомерный доступ к охраняемой законом компьютерной информации, т.е. информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации.
Заключение
Законодательное регулирование сбора и использования персональных данных обусловлено защитой неприкосновенности частной жизни как базового конституционного принципа.
В ТК РФ довольно полно регламентируется правовой механизм (процедура) реализации защиты персональных данных на этапах получения, хранения и использования персональных данных, в том числе при их передаче иным лицам. Таким образом, можно констатировать, что между работником и работодателем складывается особое правоотношение в рамках единого трудового правоотношения по поводу информации, содержащей персональные данные работника, позволяющие идентифицировать его в качестве такового. Отсюда следует, что работодатель имеет не только обязанности, но и право на получение определенной информации о работнике, объем которой предусмотрен федеральным законодательством, указами Президента РФ, постановлениями Правительства РФ. Соответственно, у работника возникает обязанность предоставить такую информацию, которая должна быть полной и достоверной.
Законодательство ряда стран расширяет перечень гарантий защиты персональных данных работника. Речь идет о создании специализированных государственных органов, призванных контролировать сбор, обработку персональных данных
Список использованных источников и литературы
1.
Источники
2. Трудовой кодекс Российской Федерации М.: Омега–Л, 2009. 188 с. (Кодексы Российской Федерации)
2.Литература
3. Гейхман В.Л., Комментарий к Трудовому кодексу Российской Федерации [Электронный ресурс] / В.Л. Гейхман, Е.Н. Сидоренко. 4-е изд., испр. и доп. М.: Юрайт, 2009. Электрон. дан.: Система ГАРАНТ, 2009. 1 электрон. опт. диск (DVD-ROM).
4. Комментарий к Трудовому кодексу РФ [Электронный ресурс] / под ред. Ананьевой К.Я. М.: Омега-Л, 2007. Электрон. дан.: Система ГАРАНТ, 2009. 1 электрон. опт. диск (DVD-ROM).
5. Комментарий к Трудовому кодексу Российской Федерации [Электронный ресурс] / под ред. Гусова К.Н. 7-е изд., перераб. и доп. М: Проспект, 2008. Электрон. дан.: Система ГАРАНТ, 2009. 1 электрон. опт. диск (DVD-ROM).
6. Лушников, А.М. Защита персональных данных работника: сравнительно-правовой комментарий гл. 14 Трудового кодекса РФ / А.М. Лушников // "Трудовое право". 2009. N 9, 10.
7. Мюллер, Б. О защите персональных данных / Б. Мюллер // "Кадровик. Трудовое право для кадровика". 2007. N 1.
|